新发病毒处理及样本提取方法.docVIP

新发病毒处理及样本提取方法 1、首先确定病毒源，断开其网络（蠕虫病毒，ARP病毒），阻断传播途径： 2、检查可疑进程： 利用Icesword工具或系统“任务管理器”查看进程，其中Icesword工具可有效显示可疑进程调用文件目录，根据此目录，提取此文件样本，并可直接通过右键中的“结束进程”杀死可疑进程；或在“命令提示符”中输入“ntsd –c q –p PID（进程ID）”结束进程。 注：如果系统EXE文件无法打开，可将Icesword.exe改为I再执行。 3、检查注册表启动项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 在以上表项中检查是否有可疑启动项目，如果有，针对启动项目中提供的路径查找文件，也可根据这些文件名查找其它相关注册表项； 查找文件后，可手动删除可疑表项，或通过使用HijackThis等工具清理注册表启动项； 注意：删除前先导出备份注册表，以备删错重新导入。 4、检查可疑端口： 利用Icesword或netstat –an命令查看端口使用情况，根据工具提供的路径查找可疑文件。 5、检查系统目录下的可疑文件（尤其是新生成的文件）： 在“工具(文件夹选项(查看”中去掉“隐藏受保护的操作系统文件（推荐）”选项，点中“显示所有文件和文件夹”选项，然后重启机器，启动过程中，按“F8”键，进入“安全模式”； C:\Documents and Settings\Administrator\Local Settings\Temp C:\WINNT或C:\WINDOWS C:\WINNT\system32 在以上目录中按时间顺序查找可疑文件，尤其是最近生成的exe和dll文件。 在C:\Program Files根目录中查找可执行文件。 提取这些文件样本，并将现有可疑文件移动到回收站，如果系统在重启后，运行正常，再从回收站中彻底删除这些文件。 6、提交病毒样本：将病毒文件打包加密压缩（压缩密码设置为virus），发送到：virus@ districts under the jurisdiction of great thanks, South of the River, River North, Mao Ta, 6 towns, less than 5 km from the enemy town of shengze, only separated by a wide range of XI Bai Yang. For the time being, Sheng diwei forces are often deployed at dawn, Mao Ta, Sheng Tang Hong Kong fringe areas, and sometimes invasive South of the River, at districts under the jurisdiction of great thanks, South of the River, River North, Mao Ta, 6 towns, less than 5 km from the enemy town of shengze, only separated by a wide range of XI Bai Yang. For the time being, Sheng diwei forces are often deployed at dawn, Mao Ta, Sheng Tang Hong Kon